Dialogfeld „Fall schließen“ anpassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie das Dialogfeld Fall schließen in Google Security Operations (Google SecOps) anpassen. Standardmäßig enthält der Dialog die Felder Grund, Hauptursache und Kommentar. Administratoren können diesen Dialog erweitern, indem sie benutzerdefinierte Parameter und Ursachen hinzufügen, um die Konsistenz und Qualität der Falldokumentation zu verbessern.

Weitere Informationen zum Beheben und Schließen von Supportanfragen

Personalisiertes Feld hinzufügen

So passen Sie das Dialogfeld Fall schließen mit zusätzlichen Parametern an:

  1. Gehen Sie zu SOAR-Einstellungen> Fall-Daten> Fall schließen.
  2. Klicken Sie auf Hinzufügen Benutzerdefinierte Parameter hinzufügen.
  3. Füllen Sie die allgemeinen Felder aus:
    • Name:Geben Sie einen Namen für den neuen Parameter ein.
    • Typ:Wählen Sie im Menü Typ einen hinzuzufügenden Feldtyp aus:
      • Freitext: Geben Sie einen Namen für das Feld ein, damit der Analyst benutzerdefinierte Details für diesen Fall eingeben kann. Nennen Sie das Feld beispielsweise Telefonnummer des Kunden. Der Analyst kann dann die entsprechenden Kontaktdaten eingeben.
      • Optionsfeld: Wählen Sie eine von zwei Optionen aus. Wenn Sie beispielsweise angeben möchten, ob ein Fall gelöst wurde oder eskaliert werden muss, verwenden Sie im Feld Radio Button Content (Inhalt des Optionsfelds) Mitigated (Gemildert) oder Escalated (Eskaliert), um den Status der Falllösung anzugeben.
      • Liste mit Einzelauswahl: Eine Liste, in der der Analyst eine Option auswählt. Wenn Sie beispielsweise den Typ der in einem Fall identifizierten Bedrohung kategorisieren möchten, verwenden Sie Optionen wie Malware, Phishing oder Insider-Bedrohung, um den Bedrohungstyp zu klassifizieren.
      • Multiple-Choice-Liste: Wählen Sie mehrere Optionen aus. Um beispielsweise Vorfallaktionen zu protokollieren, können Sie Optionen wie Eindämmungsmaßnahmen implementiert, System-Patches angewendet, Nutzerschulung durchgeführt, Benachrichtigungen aktualisiert oder Zugriff widerrufen einfügen.
    • Standardwert:Optional können Sie einen Standardwert für das Dialogfeld Fall schließen festlegen. Lassen Sie das Feld Standardwert leer, wenn keine Option vorausgewählt ist. Wenn Sie einen von Ihnen festgelegten Standardwert entfernen möchten, klicken Sie auf Zurücksetzen.
    • Beschreibung:Geben Sie eine Beschreibung ein, die als Kurzinfo angezeigt wird, wenn Sie den Mauszeiger im Dialogfeld Fall schließen auf das Info-Symbol neben dem Parameter bewegen.

Neue Ursache hinzufügen

So fügen Sie dem Menü Root Cause (Hauptursache) eine neue Hauptursache hinzu:

  1. Gehen Sie zu SOAR-Einstellungen> Falldaten> Fall schließen.
  2. Klicken Sie auf addAdd Root Cause (Ursache hinzufügen). Das Dialogfeld Ursache für Schließen des Falls hinzufügen wird angezeigt.
  3. Wählen Sie in der Liste Grund einen Grund aus und geben Sie im Feld Ursache die entsprechenden Informationen ein.
  4. Klicken Sie auf Hinzufügen, um die Ursache zu speichern.

Fallbearbeitung und Regeloptimierung

Mit der Disposition können Sie „lautstarke“ Regeln identifizieren, die eine große Anzahl von nicht umsetzbaren Benachrichtigungen generieren. Beim Schließen von Fällen können Sie sie als Malicious (Schadsoftware) oder Non-Malicious (Keine Schadsoftware) kategorisieren, was True Positive (Richtig positiv) oder False Positive (Falsch positiv) entspricht.

Wenn Sie andere Schließungstypen erfassen oder die Namen True Positive und False Positive beibehalten möchten, empfiehlt Google, im Dialogfeld Close Case (Fall schließen) ein benutzerdefiniertes Feld (Single Choice List) mit dem Label Disposition zu erstellen. So bleibt das Feld Ursache verfügbar, um den technischen Ursprung des Falls zu beschreiben.

  • Richtig positiv: Eine legitime Sicherheitsbedrohung, die behoben werden musste.

  • Gutartiger positiver Befund: Eine korrekte Erkennung einer autorisierten Aktivität (z. B. ein genehmigter Penetrationstest). Diese Werte sind die wichtigsten Kandidaten für die Optimierung oder Ausschlusslisten.

  • Falsch positiv: Eine falsche Erkennung, die durch Logikfehler oder „lautes“ Softwareverhalten verursacht wird.

  • Unbestimmt: Es sind nicht genügend Daten vorhanden, um eine Schlussfolgerung zu ziehen.

Analysten können diese Dispositionen in SOC-Dashboards verwenden, um die Falsch-Positiv-Rate pro Regel-ID zu visualisieren. So können Entwickler priorisieren, welche Regeln sofortige Logikoptimierungen erfordern.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten